什么是入侵防御系统?

入侵防御系统 (IPS) 是一种网络安全工具(可以是硬件设备或软件),可持续监控网络中的恶意活动,并在入侵真正发生时采取预防行动,包括报告、阻止或丢弃。

它比只检测恶意活动,并且只会向管理员发送提醒,不会采取其他行动的入侵检测系统 (IDS) 更加先进。入侵防御系统有时会包含在新一代防火墙 (NGFW) 或统一风险管理 (UTM) 解决方案中。就像许多网络安全技术一样,它们的功能必须足够强大,能够扫描极大流量,同时不会降低网络性能。

入侵防御系统的工作原理是什么?

入侵防御系统内嵌于源与目标之间网络流量的流动中,通常紧靠防火墙之后放置。入侵防御系统使用多种技术发现威胁:

  • 基于签名:这种方法将活动与为人熟知的威胁签名进行匹配。这种方法的一项弱点是它只能阻止之前发现过的攻击,无法识别新型攻击。
  • 基于异常:这种方法将网络活动的随机样本与基准标准进行比较,以监控异常行为。它比基于签名的监控更加可靠,但有时也会生成误报。一些更新和更先进的入侵防御系统使用人工智能和机器学习技术支持基于异常的监控。
  • 基于策略:这种方法不如基于签名或基于异常的监控那样常用。它采用企业定义的安全策略,并阻止违反这些策略的活动。这就需要管理员设置和配置安全策略。

一旦 IPS 检测到恶意活动,就可以采取许多自动化行动,包括提醒管理员、丢弃数据包、阻止源地址的流量或重置连接。一些入侵防御系统还会使用“蜜罐”或以高价值数据作为诱饵,吸引攻击者并阻止他们接近目标。

入侵防御系统的类型

IPS 有多种类型,每种的目的都稍有不同:

  • 网络入侵防御系统 (NIPS):这种 IPS 只安装于战略位置,以监控所有网络流量,并主动扫描风险。
  • 主机入侵防御系统 (HIPS):与 NIPS 不同,HIPS 安装于端点上(例如 PC),仅监控该计算机的入站和出站流量。它与 NIPS 结合使用效果最佳,对于逃过 NIPS 的威胁,它可作为最后一道防线。
  • 网络行为分析 (NBA):分析网络流量,检测异常流量,例如 DDoS(分布式拒绝服务)攻击。
  • 无线入侵防御系统 (WIPS):此类 IPS 会扫描 Wi-Fi 网络,寻找未经授权的访问,并将未经授权的设备移出网络。

入侵防御系统有哪些优势?

入侵防御系统可提供许多优势:

  • 额外的安全性:IPS 与其他安全解决方案配合使用,可发现其他解决方案无法发现的威胁。对于使用基于异常检测的系统更是如此。它还具有高水平的应用感知能力,能够提供卓越的应用安全性
  • 提升其他安全控制机制的效率:由于 IPS 会在恶意流量到达其他安全设备和控制机制之前做出筛选,因此可减少这些控制机制的工作量,使它们更高效地发挥作用。
  • 节省时间:由于 IPS 的自动化程度很高,需要 IT 团队投入的时间较少。
  • 合规性:IPS 可满足 PCI DSS、HIPAA 和其他标准制定的许多合规性要求。还可提供有价值的审核数据。
  • 自定义:IPS 可设置自定义安全策略,为使用它的企业提供特定的安全控制措施。

入侵防御系统的重要性体现在何处?

若干原因使 IPS 成为企业安全系统的重要组成部分。现代网络有许多访问点,可处理高流量,这使得人工监控和响应不再现实。(如果考虑到云计算安全情况更是如此,高度互联的环境意味着扩大的攻击面,面对威胁也更加脆弱。)此外,企业安全系统面临的威胁也在不断增加,也更加复杂。在这种情况下,IPS 的自动化功能就变得至关重要,它使企业能够快速应对威胁,也不会对 IT 团队造成压力。IPS 作为企业安全基础架构的一部分,在预防一些最严重、最复杂的攻击时发挥着关键作用。

入侵防御系统如何纳入我现有的安全基础架构?

请务必牢记,IPS 只是可靠的安全解决方案的一部分,它需要与其他技术配合使用才能实现最佳效果。事实上,入侵防御系统通常只作为统一威胁管理或新一代防火墙解决方案中的一项功能,尽管它们也可作为单独产品提供。在典型的安全体系架构中,IPS 通常紧临防火墙,与它配合发挥作用,可提供额外一层安全性,并捕捉防火墙未发现的威胁。IPS 还可在恶意流量到达其他安全控制机制之前进行筛选,有助于保护它们免受攻击,并改善这些控制机制的性能。最重要的是,IPS 可发现并筛选安全基础架构的其他部分无法检测到的威胁,从而提供额外一层安全性。

VMware 入侵防御系统相关产品、解决方案和资源

领先的企业级网络连接和安全性虚拟化平台

VMware NSX Data Center 提供完整的 L2-L7 网络和安全虚拟化平台,支持像从单一窗口管理单个条目一样轻松管理整个网络。

网络和安全转型

在企业网络连接和安全方面更进一步。通过从数据中心扩展到云环境再到边缘网关的软件层,将分布式环境中的所有对象连接起来。

VMware AppDefense

借助 VMware AppDefense,可从 Hypervisor 内提高应用的安全性,并全方位了解每个工作负载。与其跟踪威胁,不如利用...

借助 VMware NSX 实现网络自动化

通过整个应用生命周期和跨云环境实现网络和安全置备与管理的自动化,从而加快应用部署。

VMware NSX Cloud

使用 NSX Cloud,可为在公有云中原生运行的应用提供一致的网络连接和安全服务。不再有基础架构孤立小环境增加复杂性和运维成本 - 而是...

网络自动化博客

VMware NSX 可实现网络和安全性管理的自动化,从而加快应用部署。如需了解更多信息,请阅读 VMware 技术员工撰写的博客文章。这些文章将作为...